GNU/Linux >> LINUX-Kenntnisse >  >> Linux

MÖGLICHER EINBRUCHVERSUCH! in /var/log/secure — was bedeutet das?

Lösung 1:

Leider kommt dies mittlerweile sehr häufig vor. Es handelt sich um einen automatisierten Angriff auf SSH, der „allgemeine“ Benutzernamen verwendet, um zu versuchen, in Ihr System einzudringen. Die Nachricht bedeutet genau das, was sie sagt, es bedeutet nicht, dass Sie gehackt wurden, sondern nur, dass jemand es versucht hat.

Lösung 2:

Der Teil „MÖGLICHER EINBRUCHVERSUCH“ bezieht sich insbesondere auf den Teil „Reverse-Mapping-Überprüfung von getaddrinfo fehlgeschlagen“. Dies bedeutet, dass die Person, die eine Verbindung herstellte, Forward- und Reverse-DNS nicht richtig konfiguriert hatte. Dies ist ziemlich üblich, insbesondere bei ISP-Verbindungen, von denen der "Angriff" wahrscheinlich ausging.

Unabhängig von der Meldung „MÖGLICHER EINBRUCHVERSUCH“ versucht die Person tatsächlich, sich unter Verwendung allgemeiner Benutzernamen und Kennwörter einzubrechen. Verwenden Sie keine einfachen Passwörter für SSH; Tatsächlich ist es die beste Idee, Passwörter vollständig zu deaktivieren und nur SSH-Schlüssel zu verwenden.

Lösung 3:

"Was genau bedeutet "MÖGLICHER EINBRUCHVERSUCH"?"

Das bedeutet, dass der Netblock-Besitzer den PTR-Eintrag für eine statische IP-Adresse in seinem Bereich nicht aktualisiert hat und besagter PTR-Eintrag veraltet ist, ODER ein ISP richtet keine korrekten Reverse Records für seine dynamischen IP-Kunden ein. Dies ist selbst bei großen ISPs sehr verbreitet.

Am Ende erhalten Sie die msg in Ihrem Protokoll, weil jemand, der von einer IP mit falschen PTR-Einträgen kommt (aus einem der oben genannten Gründe), versucht, allgemeine Benutzernamen zu verwenden, um SSH auf Ihren Server zu versuchen (möglicherweise Bruteforce-Angriff oder vielleicht ein ehrlicher Fehler). ).

Zum Deaktivieren dieser Benachrichtigungen haben Sie zwei Möglichkeiten:

1) Wenn Sie eine statische IP haben , fügen Sie Ihre umgekehrte Zuordnung zu Ihrer /etc/hosts-Datei hinzu (weitere Informationen finden Sie hier):

10.10.10.10 server.remotehost.com

2) Wenn Sie eine dynamische IP haben und diese Warnungen wirklich verschwinden lassen möchten, kommentieren Sie "GSSAPIAuthentication yes" in Ihrer Datei /etc/ssh/sshd_config aus.

Lösung 4:

Sie können Ihre Protokolle leichter lesbar und überprüfbar machen, indem Sie Reverse Lookpups in sshd_config (UseDNS no) deaktivieren. Dadurch wird verhindert, dass sshd die "Noise"-Zeilen protokolliert, die "POSSIBLE BREAK-IN ATTEMPT" enthalten, sodass Sie sich auf die etwas interessanteren Zeilen konzentrieren können, die "Invalid user USER from IPADDRESS" enthalten.

Lösung 5:

Es ist kein erfolgreicher Login notwendig, aber was da steht "möglich" und "versuchen".

Irgendein böser Junge oder Skript-Kiddie sendet Ihnen manipulierten Datenverkehr mit einer falschen Ursprungs-IP.

Sie können Ihren SSH-Schlüsseln Ursprungs-IP-Einschränkungen hinzufügen und so etwas wie fail2ban ausprobieren.


Linux

  1. „e:Unterprozess /usr/bin/dpkg hat einen Fehlercode zurückgegeben (1)“ Was bedeutet das?

  2. Unterschied zwischen /var/log/messages, /var/log/syslog und /var/log/kern.log?

  3. CentOS / RHEL :So rotieren Sie /var/log/wtmp- und /var/log/btmp-Dateien mit logrotate

  4. Was bedeutet diese Warnung?

  5. Was bedeutet Keine weiteren Variablen in dieser MIB-Ansicht übrig (Linux)?

Was bedeutet /proc/loadavg ‚s „CPU- und Io-Auslastung“?

Linux – Was bedeutet der Buchstabe „u“ in /dev/urandom?

Was bedeutet - in diesem Linux-Befehl?

Was bedeutet sw-Option in /etc/fstab?

logrotate komprimiert nicht /var/log/messages

Systemprotokolle sind leer (/var/log/messages; /var/log/secure; etc)